O pessoal do CERT.br fez um tutorial sobre isso:
http://www.cert.br/docs/whitepapers/dns-recursivo-aberto/
2008/7/30 Welington F.J <[EMAIL PROTECTED]>
> 2008/7/30 Marcelo Gardini do Amaral <[EMAIL PROTECTED]>
>
> > Solução? Desabilitar a recursão resolve o problema, mas aí você vai
> > ter que
2008/7/30 Marcelo Gardini do Amaral <[EMAIL PROTECTED]>
> Solução? Desabilitar a recursão resolve o problema, mas aí você vai
> ter que decorar o endereço IP de todos os sites que você acessa :-)
>
>
basta criar acls, liberando recursão somente para sua rede (:
>
> Marcelo
>
>
> On Wed, Jul 30,
como eu disse.. randomizar as source ports... e ativar a recursividade
somente aos servidores/clients internos.. vaidiminuir as
possibilidades de um ataque !!
:)
Cristina, veja quais ips que chegam as consultas no seu dns.. e
adiciona eles na recursividade.. o bind 9.5.0-P1 ja vem com o patch
apl
O buraco é mais embaixo!
O bug é do protocolo DNS, não do bind. Com randomização das portas de
origem das consultas e do query ID, fica muito difícil um ataque de
envenenamento de cache, mas não impossível.
Tanto o "bind com patch" quanto o djbdns fazem randomização das portas
de origem. A soluçã
Alexandre,
O meu DNS não tem placa de rede para rede local.. ele redireciona para
as interfaces virtuais do meu firewall.. com ip publico.. o que devo
fazer neste caso.. habilitei somente
para alguns ip a recursividade.. é ideal isso ::
2008/7/30 Alexandre Correa <[EMAIL PROTECTED]>:
> Basta atua
Basta atualizar para o named 9.5.0-P1 que randomiza as source ports...
e permitir queries recursivas apenas para suas redes locais...
ja deve amenizar bastante o problema !!
2008/7/30 Marcelo Gardini do Amaral <[EMAIL PROTECTED]>:
> Solução? Desabilitar a recursão resolve o problema, mas aí você
Instale o djbdns para isso... parece que ele não foi afetado pelo bug.
Abraço.
--
From: "Marcelo Gardini do Amaral" <[EMAIL PROTECTED]>
Subject: Re: [FUG-BR]Problema resolvido Falha de DNS está longe de ser
resolvida
Solução? Desabilitar a recurs
Solução? Desabilitar a recursão resolve o problema, mas aí você vai
ter que decorar o endereço IP de todos os sites que você acessa :-)
Marcelo
On Wed, Jul 30, 2008 at 09:13:32AM -0300, [EMAIL PROTECTED] wrote:
> Segue a solucao pra resolver
> http://www.vivaolinux.com.br/dica/Desabilitando-DNS
Para quem não sabe verificar se está vulnerável:
http://www.cyberciti.biz/tips/windows-verify-dns-cache-posinging-bug.html
Bem fácil.
Welkson
- Original Message -
From: <[EMAIL PROTECTED]>
To: "Lista Brasileira de Discussão sobre FreeBSD"
Sent: Wednesday, July 30, 2008 9:13 AM
Subject:
Segue a solucao pra resolver
http://www.vivaolinux.com.br/dica/Desabilitando-DNS-Recursivo/
http://products.secureserver.net/scripts/rdnsfix
Agora execute com o comando:
# php -c /r rdnsfix
Se a resposta for parecido com esta abaixo, parabéns!
Checking this file for recursive DNS: /etc/named.c
10 matches
Mail list logo